Устранена дыра в обработке JavaScript, через которую скрипты открывают удаленные файлы, минуя систему безопасности. Не осталось незамеченным и явление первого «яблочного» червя Loompa: теперь при попытке распаковать пришедший по каналам iChat архивный файл система предупреждает о возможных последствиях столь опрометчивого шага.
Пожалуй, предусмотрительные эппловцы не зря помечают номер патча трехзначным числом — ныне Mac OS X представляет собой настоящий клондайк для хакеров. Пока рыночная доля яблочного пирога была не столь велика, серьезные «искатели блох» обходили ее стороной, но после портирования на процессоры Intel ситуация коренным образом изменилась. Не исключено, что отныне программистам Apple придется латать дырявый «Макинтош» не реже, чем Microsoft заменяет разбитые стекла в своих «Форточках». — Д.К.
Проверяйте файлы, не отходя от кассы
Разработчики GPG, популярной криптопрограммы с открытыми исходниками, известной также под именами GnuPG и GNU Privacy Guard, извещают о паре выявленных в коде серьезных багов, которые снижают безопасность криптографии. Обнаруженные слабости теоретически позволяют злоумышленнику незаметно делать собственные вставки в контент, защищаемый цифровой подписью, либо подделывать подписи файлов. Потенциальной угрозе подвержены все версии программы, предшествовавшие 1.4.2.2.
GPG родилась как проект германских программистов, решивших создать бесплатный аналог ушедшей в коммерцию PGP. Программа быстро завоевала популярность и сегодня входит во многие дистрибутивы таких операционных систем, как FreeBSD, OpenBSD и многочисленные разновидности Linux. Оба нынешних бага в GPG обнаружил Тавис Орманди (Tavis Ormandy) из команды программистов-разработчиков, отвечающих за безопасность ОС Gentoo Linux.
Распространители дистрибутивов Linux и Unix часто используют цифровую подпись GPG для подтверждения подлинности выпускаемых обновлений, а также для верификации рассылки почтовых сообщений о выявленных проблемах с безопасностью. Обнаруженные Тависом Орманди баги позволяют встраивать в электронное письмо или подписываемые файлы дополнительные пакеты, так что проверяющая подписи программа эти вставки «как бы не замечает» и подтверждает подлинность полученной корреспонденции. Поэтому все системы, распространяющие дистрибутивы с опорой на GPG, нуждаются в обновлении программы до версии 1.4.2.2 или выше. Подробно ознакомиться с выявленными в GnuPG слабостями можно поэтому адресу . — Б.К.
Сумчатый грипп
На ежегодной «Конференции по всепроникающему компьютингу и коммуникациям» (IEEE PerCom), проходившей в итальянском городе Пиза, группа исследователей из Свободного университета Амстердама представила доклад о выявленной ими новой уязвимости систем на основе RFID, чипов радиочастотной идентификации. Ученые продемонстрировали на практике, что все шире внедряемые RFID-метки, приходящие на смену традиционным штрих-кодам, точно так же подвержены угрозамвирусных инфекций, как и любое другое компьютерное устройство.
Вплоть до последнего времени предполагалось, что мизерный объем памяти большинства RFID-чипов сам по себе является гарантией вирусного иммунитета этой технологии. Однако голландцы показали, что и этого объема вполне достаточно для внедрения злонамеренного кода. Когда этот код вместе с остальной информацией считывает прибор-ридер, подключенный к компьютерной базе, то дальше происходит заражение системы и перенос вируса на все последующие RFID-чипы, обрабатываемые и программируемые ридером. Иными словами, имеются все условия для распространения инфекции.
Опасность подобного сценария демонстрируется на примере аэропорта Лас-Вегаса, где ежемесячно обрабатывается два миллиона единиц багажа пассажиров.